Cyberangriff: Kammergericht Berlin hat IT-Totalschaden
Die Gefährlichkeit ergibt sich nach dem Gutachten daraus, dass der Angreifer in der Lage gewesen wäre, alle Gerichtsdaten entweder zu zerstören oder sich anzueignen.
Offline zu gehen, war alternativlos
Die Entscheidung, das Kammergericht Ende September 2019 sofort vom Internet zu trennen und abzuschalten, war aus technischer Sicht alternativlos und hat das Schlimmste noch rechtzeitig verhindert. Wegen der festgestellten Schad-Software ist das Computersystem des Kammergerichts weiterhin vom Netz genommen. IT-Experten arbeiten weiter an der Behebung des Problems.
Das Kammergericht ist nach eigener Aussage bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen, lediglich das elektronische Anwaltspostfach funktioniert weiterhin. Die Arbeitsfähigkeit sei gewährleistet. Weitere Gerichte in Berlin seien nicht betroffen.
T-Systems hat jetzt festgestellt, dass aller Wahrscheinlichkeit nach Zugangsdaten abgeflossen sind – diese nutzen den Angreifern seit der Abschaltung des Internetzugangs aber nichts mehr. Auch seien keine auf den Kammergerichtssystemen gespeicherten Dokumente wie Urteile und Beschlüsse mit den darin enthaltenen Inhalten, Namen und Daten abgeflossen.
Die Trojaner wüteten mehrere Tage ungehindert im Gerichtsnetz
Alles in allem konnten die Trojaner Emotet und Trickbot über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen. Selbst Indizien für einen manuellen, interaktiven Zugriff durch die Angreifer liegen den Gutachtern zufolge vor.
Das Gutachten zeigt auch, dass eine Bereinigung des bisherigen Systems nicht genügt, sondern der vollständige Neuaufbau einer sicheren IT-Infrastruktur für das Kammergericht geboten ist. Im Zusammenhang mit diesem Neuaufbau steht auch die Migration von Altdaten aus den bestehenden Back-ups.
"Regelmäßige Back-ups sind entscheidend"
Bundesamt für Sicherheit in der Informationstechnik (BSI)
www.youtube.com/watch _blank external-link-new-window
T-Systems habe diesbezüglich klargestellt, dass Altdaten – gleich welchen Back-up-Datums – intensiv geprüft und gegebenenfalls behandelt werden müssen, bevor sie unbedenklich wieder ins System gestellt werden dürfen. Das liegt daran, dass aus jetziger Sicht der Zeitpunkt des Befalls – ausgegangen wird vom 20. September 2019 – nicht zweifelsfrei festgestellt werden konnte.